Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Registrazione degli eventi delle attività di rete
Nota
Gli eventi relativi alle attività di rete sono disponibili in anteprima CloudTrail e sono soggetti a modifiche.
CloudTrail gli eventi di attività di rete consentono ai proprietari degli VPC endpoint di registrare AWS API le chiamate effettuate utilizzando i propri VPC endpoint da un ambiente privato VPC a. Servizio AWS Gli eventi di attività di rete forniscono visibilità sulle operazioni sulle risorse eseguite all'interno di un. VPC Ad esempio, la registrazione degli eventi relativi alle attività di rete può aiutare i proprietari degli VPC endpoint a rilevare quando credenziali esterne all'organizzazione tentano di accedere ai propri endpoint. VPC
È possibile registrare gli eventi di attività di rete per i seguenti servizi:
-
AWS CloudTrail
-
Amazon EC2
-
AWS KMS
-
AWS Secrets Manager
Puoi configurare sia i percorsi che gli archivi dati degli eventi per registrare gli eventi delle attività di rete.
Per impostazione predefinita, i trail e gli event data store non registrano gli eventi delle attività di rete. Per gli eventi di attività di rete si applicano costi aggiuntivi. Per ulteriori informazioni, consultare AWS CloudTrail Prezzi
Indice
- Campi avanzati di selezione degli eventi per gli eventi di attività di rete
- Registrazione degli eventi relativi alle attività di rete con AWS Management Console
- Registrazione degli eventi di attività di rete con AWS Command Line Interface
- Registrazione degli eventi con AWS SDKs
Campi avanzati di selezione degli eventi per gli eventi di attività di rete
È possibile configurare i selettori di eventi avanzati per registrare gli eventi di attività di rete specificando l'origine dell'evento per cui si desidera registrare l'attività. È possibile configurare selettori di eventi avanzati utilizzando la console AWS SDKs AWS CLI, o. CloudTrail
I seguenti campi avanzati di selezione degli eventi sono necessari per registrare gli eventi delle attività di rete:
-
eventCategory— Per registrare gli eventi di attività di rete, il valore deve essereNetworkActivity.eventCategorypuò usare solo l'Equalsoperatore. -
eventSource— L'origine degli eventi per la quale si desidera registrare gli eventi di attività di rete.eventSourcepuò utilizzare solo l'Equalsoperatore. Se si desidera registrare gli eventi delle attività di rete per più fonti di eventi, è necessario creare un selettore di campo separato per ciascuna fonte di eventi.I valori validi includono:
-
cloudtrail.amazonaws.com -
ec2.amazonaws.com -
kms.amazonaws.com -
secretsmanager.amazonaws.com
-
I seguenti campi avanzati di selezione degli eventi sono facoltativi:
-
eventName— L'azione richiesta in base alla quale si desidera filtrare. Ad esempio,CreateKeyoListKeys.eventNamepuò utilizzare qualsiasi operatore. -
errorCode— Il codice di errore richiesto in base al quale si desidera filtrare. Attualmente, l'unico validoerrorCodeèVpceAccessDenied. È possibile utilizzare solo l'Equalsoperatore conerrorCode. -
vpcEndpointId— Identifica l'VPCendpoint attraversato dall'operazione. È possibile utilizzare qualsiasi operatore con.vpcEndpointId
Per impostazione predefinita, gli eventi relativi alle attività di rete non vengono registrati quando si crea un archivio dati di percorsi o eventi. Per registrare gli eventi CloudTrail di attività di rete, è necessario configurare in modo esplicito ogni origine di eventi per la quale si desidera raccogliere attività.
Si applicano costi aggiuntivi per la registrazione degli eventi di attività di rete. Per CloudTrail informazioni sui prezzi, consulta la sezione AWS CloudTrail Prezzi
Registrazione degli eventi relativi alle attività di rete con AWS Management Console
È possibile aggiornare un trail o un event data store esistente per registrare gli eventi di attività di rete utilizzando la console.
Argomenti
Aggiorna un percorso esistente per registrare gli eventi delle attività di rete
Utilizzare la procedura seguente per aggiornare un percorso esistente per registrare gli eventi delle attività di rete.
Nota
Si applicano costi aggiuntivi per la registrazione degli eventi di attività di rete. Per i prezzi CloudTrail, consulta Prezzi di AWS CloudTrail
Accedi a AWS Management Console e apri la CloudTrail console all'indirizzo https://console.aws.amazon.com/cloudtrail/
. -
Nel riquadro di navigazione a sinistra della CloudTrail console, apri la pagina Percorsi e scegli il nome del percorso.
-
In Eventi di attività di rete, scegli Modifica.
Per registrare gli eventi di attività di rete, procedi nel seguente modo:
-
Da Origine degli eventi di attività di rete, scegli la fonte per gli eventi di attività di rete.
-
In Modello di selettore di log, scegliere un modello. Puoi scegliere di registrare tutti gli eventi di attività di rete, registrare tutti gli eventi di accesso negato all'attività di rete o scegliere Personalizzato per creare un selettore di registro personalizzato per filtrare più campi, come
eventNameevpcEndpointId. -
(Facoltativo) Inserisci un nome per identificare il selettore. Il nome del selettore è elencato come Nome nel selettore di eventi avanzato ed è visualizzabile se si espande la vista. JSON
-
In Advanced, i selettori di eventi creano espressioni scegliendo i valori per Field, Operator e Value. Se utilizzi un modello di log predefinito, puoi ignorare questa fase.
-
Per escludere o includere gli eventi di attività di rete, puoi scegliere tra i seguenti campi nella console.
-
eventName— È possibile utilizzare qualsiasi operatore coneventName. Puoi usarlo per includere o escludere qualsiasi evento, ad esempioCreateKey. -
errorCode— È possibile utilizzarlo per filtrare in base a un codice di errore. Attualmente, l'unico supportatoerrorCodeèVpceAccessDenied. -
vpcEndpointId— Identifica l'VPCendpoint attraversato dall'operazione. È possibile utilizzare qualsiasi operatore con.vpcEndpointId
-
-
Per ogni campo, scegliere + Condizioni per aggiungere tutte le condizioni necessarie, fino a un massimo di 500 valori specificati per tutte le condizioni.
-
Scegli + Field (+ Campo) per aggiungere campi aggiuntivi in base alle necessità. Per evitare errori, non impostare valori in conflitto o duplicati per i campi.
-
-
Per aggiungere un'altra fonte di eventi per la quale desideri registrare gli eventi di attività di rete, scegli Aggiungi selettore di eventi di attività di rete.
-
Facoltativamente, espandi la JSONvisualizzazione per visualizzare i selettori di eventi avanzati come un blocco. JSON
-
-
Per salvare le modifiche, scegliere Salva modifiche.
Aggiorna un archivio dati di eventi esistente per registrare gli eventi di attività di rete
Utilizzare la procedura seguente per aggiornare un Event Data Store esistente per registrare gli eventi delle attività di rete.
Nota
È possibile registrare gli eventi di attività di rete solo nei data store di eventi di tipo CloudTrail eventi.
Accedi a AWS Management Console e apri la CloudTrail console all'indirizzo https://console.aws.amazon.com/cloudtrail/
. -
Nel riquadro di navigazione a sinistra della CloudTrail console, sotto Lake, scegli Event data stores.
-
Scegli l'evento dal datastore di eventi.
-
In Eventi di attività di rete, scegli Modifica.
Per registrare gli eventi di attività di rete, procedi nel seguente modo:
-
Da Origine degli eventi di attività di rete, scegli la fonte per gli eventi di attività di rete.
-
In Modello di selettore di log, scegliere un modello. Puoi scegliere di registrare tutti gli eventi di attività di rete, registrare tutti gli eventi di accesso negato all'attività di rete o scegliere Personalizzato per creare un selettore di registro personalizzato per filtrare più campi, come
eventNameevpcEndpointId. -
(Facoltativo) Inserisci un nome per identificare il selettore. Il nome del selettore è elencato come Nome nel selettore di eventi avanzato ed è visualizzabile se si espande la vista. JSON
-
In Advanced, i selettori di eventi creano espressioni scegliendo i valori per Field, Operator e Value. Se utilizzi un modello di log predefinito, puoi ignorare questa fase.
-
Per escludere o includere gli eventi di attività di rete, puoi scegliere tra i seguenti campi nella console.
-
eventName— È possibile utilizzare qualsiasi operatore coneventName. Puoi usarlo per includere o escludere qualsiasi evento, ad esempioCreateKey. -
errorCode— È possibile utilizzarlo per filtrare in base a un codice di errore. Attualmente, l'unico supportatoerrorCodeèVpceAccessDenied. -
vpcEndpointId— Identifica l'VPCendpoint attraversato dall'operazione. È possibile utilizzare qualsiasi operatore con.vpcEndpointId
-
-
Per ogni campo, scegliere + Condizioni per aggiungere tutte le condizioni necessarie, fino a un massimo di 500 valori specificati per tutte le condizioni.
-
Scegli + Field (+ Campo) per aggiungere campi aggiuntivi in base alle necessità. Per evitare errori, non impostare valori in conflitto o duplicati per i campi.
-
-
Per aggiungere un'altra fonte di eventi per la quale desideri registrare gli eventi di attività di rete, scegli Aggiungi selettore di eventi di attività di rete.
-
Facoltativamente, espandi la JSONvisualizzazione per visualizzare i selettori di eventi avanzati come un blocco. JSON
-
-
Per salvare le modifiche, scegliere Salva modifiche.
Registrazione degli eventi di attività di rete con AWS Command Line Interface
È possibile configurare i percorsi o gli archivi dati degli eventi per registrare gli eventi delle attività di rete utilizzando il AWS CLI.
Argomenti
Esempi: registrazione degli eventi di attività di rete per i sentieri
È possibile configurare i percorsi per registrare gli eventi di attività di rete utilizzando il AWS CLI. Esegui il put-event-selectors
Per vedere se il percorso registra gli eventi di attività di rete, esegui il get-event-selectors
Argomenti
Esempio: registra gli eventi di attività di rete per le operazioni CloudTrail
L'esempio seguente mostra come configurare il percorso in modo da includere tutti gli eventi di attività di rete per CloudTrail API le operazioni, ad esempio le CreateEventDataStore chiamate CreateTrail e. Il valore del eventSource campo ècloudtrail.amazonaws.com.
aws cloudtrail put-event-selectors / --trail-nameTrailName/ --regionregion/ --advanced-event-selectors '[ { "Name": "Audit all CloudTrail API calls through VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["cloudtrail.amazonaws.com"] } ] } ]'
Questo comando restituisce il seguente output di esempio.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "AdvancedEventSelectors": [ { "Name": "Audit all CloudTrail API calls through VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "cloudtrail.amazonaws.com" ] } ] } ] }
Esempio: registra VpceAccessDenied gli eventi per AWS KMS
L'esempio seguente mostra come configurare il percorso per includere VpceAccessDenied eventi per AWS KMS. Questo esempio imposta il errorCode campo uguale agli VpceAccessDenied eventi e il eventSource campo uguale akms.amazonaws.com.
aws cloudtrail put-event-selectors \ --regionregion/ --trail-nameTrailName/ --advanced-event-selectors '[ { "Name": "Audit AccessDenied AWS KMS events through VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["kms.amazonaws.com"] }, { "Field": "errorCode", "Equals": ["VpceAccessDenied"] } ] } ]'
Questo comando restituisce il seguente output di esempio.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "AdvancedEventSelectors": [ { "Name": "Audit AccessDenied AWS KMS events through VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "kms.amazonaws.com" ] }, { "Field": "errorCode", "Equals": [ "VpceAccessDenied" ] } ] } ] }
Esempio: registra EC2 VpceAccessDenied gli eventi su un VPC endpoint specifico
L'esempio seguente mostra come configurare il percorso per includere VpceAccessDenied eventi per Amazon EC2 per un VPC endpoint specifico. Questo esempio imposta il errorCode campo uguale agli VpceAccessDenied eventi, il eventSource campo uguale a ec2.amazonaws.com e vpcEndpointId uguale all'VPCendpoint di interesse.
aws cloudtrail put-event-selectors \ --regionregion/ --trail-nameTrailName/ --advanced-event-selectors '[ { "Name": "Audit AccessDenied EC2 events over a specific VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["ec2.amazonaws.com"] }, { "Field": "errorCode", "Equals": ["VpceAccessDenied"] }, { "Field": "vpcEndpointId", "Equals": ["vpce-example8c1b6b9b7"] } ] } ]'
Questo comando restituisce il seguente output di esempio.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "AdvancedEventSelectors": [ { "Name": "Audit AccessDenied EC2 events over a specific VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "ec2.amazonaws.com" ] }, { "Field": "errorCode", "Equals": [ "VpceAccessDenied" ] }, { "Field": "vpcEndpointId", "Equals": [ "vpce-example8c1b6b9b7" ] } ] } ] }
Esempi: registrazione degli eventi di attività di rete per gli archivi di dati di eventi
È possibile configurare i data store degli eventi per includere gli eventi di attività di rete utilizzando. AWS CLI Utilizzate il create-event-data-storeupdate-event-data-store
Per vedere se il tuo event data store include eventi di attività di rete, esegui il get-event-data-store
aws cloudtrail get-event-data-store --event-data-storeEventDataStoreARN
Argomenti
Esempio: registra tutti gli eventi di attività di rete per CloudTrail le operazioni
L'esempio seguente mostra come creare un archivio dati di eventi che includa tutti gli eventi di attività di rete relativi alle CloudTrail operazioni, come le chiamate a CreateTrail eCreateEventDataStore. Il valore del eventSource campo è impostato sucloudtrail.amazonaws.com.
aws cloudtrail create-event-data-store \ --name "EventDataStoreName" \ --advanced-event-selectors '[ { "Name": "Audit all CloudTrail API calls over VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["cloudtrail.amazonaws.com"] } ] } ]'
Questo comando restituisce il seguente output di esempio.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE492-301f-4053-ac5e-EXAMPLE441aa", "Name": "EventDataStoreName", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Audit all CloudTrail API calls over VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "cloudtrail.amazonaws.com" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00", "UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00" }
Esempio: registra VpceAccessDenied gli eventi per AWS KMS
L'esempio seguente mostra come creare un archivio dati di eventi per cui includere VpceAccessDenied eventi AWS KMS. Questo esempio imposta il errorCode campo uguale agli VpceAccessDenied eventi e il eventSource campo uguale akms.amazonaws.com.
aws cloudtrail create-event-data-store \ --nameEventDataStoreName\ --advanced-event-selectors '[ { "Name": "Audit AccessDenied AWS KMS events over VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["kms.amazonaws.com"] }, { "Field": "errorCode", "Equals": ["VpceAccessDenied"] } ] } ]'
Questo comando restituisce il seguente output di esempio.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890", "Name": "EventDataStoreName", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Audit AccessDenied AWS KMS events over VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "kms.amazonaws.com" ] }, { "Field": "errorCode", "Equals": [ "VpceAccessDenied" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00", "UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00" }
Esempio: registra EC2 VpceAccessDenied gli eventi su un VPC endpoint specifico
L'esempio seguente mostra come creare un archivio dati di eventi per includere VpceAccessDenied eventi per Amazon EC2 per un VPC endpoint specifico. Questo esempio imposta il errorCode campo uguale agli VpceAccessDenied eventi, il eventSource campo uguale a ec2.amazonaws.com e vpcEndpointId uguale all'VPCendpoint di interesse.
aws cloudtrail create-event-data-store \ --nameEventDataStoreName\ --advanced-event-selectors '[ { "Name": "Audit AccessDenied EC2 events over a specific VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["ec2.amazonaws.com"] }, { "Field": "errorCode", "Equals": ["VpceAccessDenied"] }, { "Field": "vpcEndpointId", "Equals": ["vpce-example8c1b6b9b7"] } ] } ]'
Questo comando restituisce il seguente output di esempio.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890", "Name": "EventDataStoreName", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Audit AccessDenied EC2 events over a specific VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "ec2.amazonaws.com" ] }, { "Field": "errorCode", "Equals": [ "VpceAccessDenied" ] }, { "Field": "vpcEndpointId", "Equals": [ "vpce-example8c1b6b9b7" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00", "UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00" }
Registrazione degli eventi con AWS SDKs
Esegui l'GetEventSelectorsoperazione per vedere se il tuo percorso sta registrando gli eventi di attività di rete. È possibile configurare i percorsi per registrare gli eventi delle attività di rete eseguendo l'PutEventSelectorsoperazione. Per ulteriori informazioni, consulta la pagina AWS CloudTrail APIdi riferimento.
Esegui l'GetEventDataStoreoperazione per vedere se il tuo Event Data Store sta registrando gli eventi delle attività di rete. È possibile configurare i data store degli eventi per includere gli eventi di attività di rete eseguendo UpdateEventDataStorele operazioni CreateEventDataStoreor e specificando selettori di eventi avanzati. Per ulteriori informazioni, vedere Crea, aggiorna e gestisci archivi di dati di eventi con AWS CLI e il AWS CloudTrail API Reference.
